CVE-2026-45066 in Symfony
Riassunto
di VulDB • 14/07/2026
Symfony è un framework PHP per applicazioni web e console e un insieme di componenti PHP riutilizzabili. Dalla versione 6.1.0-BETA1 fino alle versioni 6.4.40, 7.4.12 e 8.0.12, la sanitizzazione degli URL in HtmlSanitizer può consentire l'inserimento di URL non presenti nella allowlist tramite i metodi allowLinkHosts() o allowMediaHost(), poiché UrlSanitizer::parse() segue lo standard RFC 3986 mentre i browser seguono il parsing delle URL WHATWG; inoltre, alcuni controlli vengono effettuati rispetto alla policy per i media anziché a quella per i link. Questo problema è stato risolto nelle versioni 6.4.40, 7.4.12 e 8.0.12.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.